пустые запросы журнала apache

У нас есть сайт, который периодически подвергается атаке DDOS. Когда это происходит, мы получаем сотни пустых запросов, как показано ниже в журнале доступа к домену. Все они абсолютно одинаковы, за исключением отметки времени.

54.236.211.114 - - [20/Apr/2015:22:31:11 +0000] "GET /404.php HTTP/1.0" 404 469 "-" "-"

Указанный IP-адрес является IP-адресом сервера (он выполняет внутренний запрос для получения страницы 404), но помимо этого мы ничего не видим о том, кто это делает, к какому URL-адресу они пытаются получить доступ и т. д.

У меня есть вопрос: есть ли способ определить, откуда идет эта атака и к какому URL-адресу они пытаются получить доступ, возможно, из другого файла журнала или чего-то еще?

Спасибо, Эрик.


logging apache ddos
person Eric Reynolds    schedule 21.04.2015    source источник

Ответы (2)


arrow_upward
0
arrow_downward

Похоже, что фактический URL-адрес — «/404.php». Они могут просто запрашивать поддельную страницу, чтобы перегрузить ваш сервер. Вы можете заблокировать этого парня в iptables или в файле htaccess. Вот что вы поместите в htaccess.

    Order Deny,Allow
    Deny from 54.236.211.114
person 5kKate    schedule 21.04.2015

arrow_upward
0
arrow_downward

Нам удалось изменить способ обработки запросов в cms, оказалось, что все страницы, которые вызывали проблемы, были похожи на эту: domain.com/www.someotherdomain.

Поэтому вместо этого мы перенаправили все запросы на /www.something до того, как страница отобразится.

person Eric Reynolds    schedule 22.04.2015